Aspekty prawne biometrii. Komentarz ekspercki

• Biometria w FinTechu - Innowacyjne Zabezpieczenie Transakcji
• Ochrona danych biometrycznych a RODO 
• Wyzwania dla prywatności
• Wymogi Dyrektywy PSD2
• Nowe przepisy dla biometrii w kontekście sztucznej inteligencji

Biometria w FinTechu - Innowacyjne Zabezpieczenie Transakcji

Coraz częściej, dokonując transakcji płatniczych online, wykorzystujemy biometrię: potwierdzamy je metodami rozpoznawania twarzy, podpisujemy dokumenty elektronicznie za pomocą podłączonego do komputera czytnika linii papilarnych lub uzyskujemy dostęp do biura, skanując soczewkę oka. Te technologie znacząco ułatwiają codzienne życie, jednocześnie stanowią dodatkowe zabezpieczenie oparte na naszej unikalności fizycznej, bez potrzeby tradycyjnych haseł lub kart dostępu. 

Ochrona danych biometrycznych a RODO 

Kluczowym zagadnieniem w kontekście przetwarzania danych biometrycznych jest zapewnienie bezpieczeństwa naszych danych osobowych. Zgodnie z ogólnymi zasadami, RODO (Rozporządzenie o Ochronie Danych Osobowych) wprowadza zakaz przetwarzania danych biometrycznych. Artykuł 4 ust. 14 definiuje je jako „dane osobowe wynikające ze specjalnego przetwarzania technicznego, odnoszące się do cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, umożliwiające lub potwierdzające jej jednoznaczną identyfikację, takie jak wizerunek twarzy czy dane daktyloskopijne”. Przetwarzanie danych biometrycznych jest dozwolone tylko wtedy, gdy zachodzi jedna z przesłanek określonych w art. 6 ust. 1 RODO, np. gdy osoba, której dane dotyczą, wyraziła na to zgodę, lub gdy jest to niezbędne w celu wywiązania się z prawnego obowiązku przetwarzania. 

Wyzwania dla prywatności

Dane biometryczne stanowią głęboką ingerencję w prywatność, a ich przetwarzanie może stanowić poważne zagrożenie dla podstawowych praw osób, których dane dotyczą. Z tego powodu art. 9 ust. 1 RODO zasadniczo zabrania przetwarzania takich danych w celu identyfikacji, choć w art. 9 ust. 2 wskazane są wyjątki od tej zasady. W praktyce oznacza to, że dane biometryczne stanowią szczególną ingerencję w prywatność, dlatego wymagają szczególnej ochrony. Firmy muszą szczególnie starannie podchodzić do przetwarzania biometrii, aby nie naruszać prywatności użytkowników. 

Wymogi Dyrektywy PSD2

Wychodząc naprzeciw potrzebom branży FinTech, unijny ustawodawca wprowadził w Dyrektywie PSD2 (Dyrektywa o usługach płatniczych) wymóg stosowania silnego uwierzytelniania, które może, ale nie musi obejmować biometrii. W takim przypadku dane biometryczne mogą być jednym z elementów weryfikacji tożsamości użytkownika, co zwiększa bezpieczeństwo transakcji. Dzięki temu FinTech może podnosić poziom bezpieczeństwa transakcji poprzez wieloskładnikowe uwierzytelnianie tożsamości użytkownika.

Nowe przepisy dla biometrii w kontekście sztucznej inteligencji

Nowo przyjęte Rozporządzenie UE dotyczące sztucznej inteligencji (AI Act) nie zmienia zasadniczo przepisów RODO, jednak zawiera liczne odniesienia do technologii biometrycznych. AI Act wprowadza m.in. regulacje dotyczące identyfikacji i weryfikacji biometrycznej, a także systemów kategoryzacji biometrycznej oraz zdalnej identyfikacji biometrycznej, zarówno w czasie rzeczywistym, jak i post factum. Twórcy AI Act wskazali również ramy prawne w zakresie ochrony osób fizycznych, w tym zakaz wykorzystywania danych biometrycznych do wnioskowania na ich podstawie o cechach osobistych, takich jak orientacja seksualna, przekonania religijne czy przynależności do związków zawodowych. Biometria wyzwaniem i szansą dla bezpieczeństwa Przepisy regulujące przetwarzanie biometrii w branży FinTech wskazują, że choć technologie te oferują ogromny potencjał dla bezpieczeństwa i wygody użytkowników, to ich stosowanie wymaga szczególnej ostrożności i zgodności z regulacjami. RODO, PSD2 oraz AI Act tworzą ramy prawne, które pozwalają na bezpieczne i etyczne korzystanie z biometrii w usługach finansowych.

Autor: Adwokat Marta Macuga, Kancelaria Prawna Chałas i Wspólnicy